云安全是云計算大規模應用的前提
云計算時代云安全很重要
第三屆云計算大會5月20日繼續在北京國家會議中心舉行。在進行的云計算環境下的信息安全專題論壇中,衛士通總經理助理兼戰略合作部總經理鐘博做了《云環境下的安全體系架構》主題演講。他表示,云計算時代的到來是無法回避的事實,云的設計要安全和應用同步考慮,規劃完善的安全體系架構,這樣才能避免重蹈覆轍。
衛士通總經理助理兼戰略合作部總經理鐘博
鐘博表示云安全是云計算大規模應用的前提,現今云安全已經上升到國家安全戰略的層面,云安全不僅僅是技術問題,必須提前規劃安全體系。
鐘博談到,云沒有像我們想象的發展那么快一個重大原因還是安全問題。云的安全現狀讓人擔心,云技術本身上講是并行的分布式網絡計算機,當時的工程師本身是網絡計算,工程師畫網絡的時候習慣于用云來表現,叫習慣了就叫云。因為它是建立在網上虛擬技術上,而且這些技術本身從安全上并沒有什么本質的突破不管是現在的寬帶網絡也好,還是分布式計算模型,還有虛擬機本身的安全還是一如既往向以前一樣存在。把這些綜合在一起,我覺得安全風險并不是減少而是加大。用戶在獲得計算儲存方面的高性能,低價格同時喪失了對信息和數據的自主控制。
鐘博認為,云計算安全的根源:應用環境和數據脫離用戶可控范圍,數據和應用環境分離,這是導致云計算問題的根源。誰能控制云計算,誰就能控制信息的主權。云計算的基礎則是服務器與儲存技術,中國并不是這些領域的技術與市場掌控者。這不是簡單的安全問題,而是一個信息主權的問題。所以說云安全已經上升到國家安全層級。
鐘博繼續談到,云計算的通信基礎是TCP/IP網絡,網絡本身就不安全。同IP協議一樣,云計算的核心技術包括包括虛擬化、分布式計算等,在設計之初并為充分考慮安全問題,存在先天不足。程序的實現手段和水平不同,有些通過C/C++實現的程序很容易導致緩沖區溢出攻擊等,引入安全漏洞。作為底層支持的操作系統在內存保護、數據隔離、權限管理、身份認證,防木馬病毒攻擊等方面本身存在缺陷,通過不定方式難以根治。相關的標準、法規、監管體系缺乏,沒有完整的云安全體系。云的設計要安全和應用同步考慮,規劃完善的安全體系架構,避免重蹈覆轍。
以Hadoop為例,Hadoop既實現了MAP計算模型,也實現了分布式文件系統,它被設計成適合運行在通用硬件上、具有高度容錯性,適合部署在廉價的機器上。Hadoop能提供高吞吐量的數據訪問,非常適合大規模數據集上的應用,它已在有數千個節點的JNU幾機組成的集群系統上得到驗證。通過分析代碼,數據傳輸基于TCP/IP協議,以Socket方式實現,但在傳輸和存儲過程中沒有做加密。各個節點間沒有強認證機制,容易假冒。
既然有這么多問題,就是需要建立安全的架構。我們比較贊成云管端的模式。
從安全機制來講,我們需要考慮幾個方面,終端安全,管道安全和后臺運營安全。這里面最核心的技術就是密碼技術和加密技術。從體系架構來講,首先它需要有一個標準,相應的體制和政策法規做規范,比如密碼管理的標準相應的法律法規,需要安全管理和安全支撐,涉及到秘鑰的管理,涉及到對證書的管理。安全支撐主要是做統一的全局域的統一身份認證,通過云的平臺安全,管道安全,云終端一起提供云的安全服務。從終端安全來講,我們需要實現終端可信,接入認證,身份識別,防攻擊,抗丟失,數據丟失。手段有密碼安全芯片,安全協議,安全通信模塊,密碼模塊,安全會聚設備,終端防護系統,防木馬病毒系統。
管道的安全跟傳統的網絡安全方式比較接近,需要保證數據的傳輸,后臺的安全,抗網絡攻擊,入侵防護和身份識別,支持VIP6。云平臺安全目標實現虛擬化安全,分布式計算安全,存儲安全,節點間認證,訪問控制,日志審計,調度安全,開發安全,應用安全。云安全的支持實現統一用戶身份管理,統一身份認證和單點登陸,統一授權管理,統一訪問管理。從管控來講包括安全管理,密鑰管理,證書管理,安全運維。
在這個基礎上我們提出了云計算環境安全體系架構體系,包括體制標準政策法規,就是密碼管理條例,測評認證標準,分等級保護規范等。
剛才我們提到了我們要架構自主可控云安全計算平臺,大量可以采用已有的可信計算技術,確保云平臺的自主可控。在這個基礎上我們可以做內核層的文件過濾,包括操作系統本身不被木馬病毒攻擊。
剛才還提到了一個安全即服務SAAS,包括數據安全,應用安全,邊界安全,存儲安全。
這是我們提供安全存儲服務的云架構。它采用密碼加密為核心,實現多維度的安全,我們把安全作為一種服務項目提供,在密碼管理安全測評上是符合國家要求,再有我們安全和應用的融合,覆蓋了各種各樣的使用場景,把產業鏈串在一起,構成一個完整的基礎設施。
云安全是云計算的基礎,把好安全關才能穩定地進行其他的業務的擴展。
【編輯推薦】
